Lazarus Group利用虚假视频会议和求职诈骗攻击区块链专业人士

Group-IB的最新报告重点介绍了朝鲜Lazarus集团正在进行的一项活动,该活动被称为“Eager Crypto Beavers”活动。该组织采用虚假工作机会和恶意视频会议应用程序等复杂手段来传播恶意软件。

Group-IB 的最新报告显示,臭名昭著的朝鲜政府支持的Lazarus Group正在加强其以经济为目的的网络攻击活动。该攻击活动被称为“Eager Crypto Beavers”,它使用越来越复杂的策略来针对区块链专业人士和开发人员。

研究人员观察到了一项名为“传染性面试”的活动,受害者被虚假的工作机会所诱惑。求职者被诱骗下载并运行一个恶意的Node.js项目,该项目包含一个名为“BeaverTail”的恶意软件变体。然后,BeaverTail部署一个名为“InvisibleFerret”的Python后门,最终窃取敏感数据。

威胁者扩大了攻击手段,使用“FCCCall”等欺诈性视频会议应用程序来模仿合法平台。这些应用程序通过克隆网站进行分发,并充当BeaverTail恶意软件的传播机制。

Group-IB在分享的最新报告中透露,Lazarus Group的新攻击策略除了LinkedIn之外,还包括WWR、Moonlight和Upwork等求职门户网站。

此外,该组织还利用Telegram等平台进一步操纵受害者。Lazarus还将恶意JavaScript注入GitHub上的游戏和加密货币项目中​​,目前正在分发欺诈性视频会议应用程序,例如“FCCCall”,它模仿合法服务来安装BeaverTail等恶意软件。一旦安装在Windows上,BeaverTail就会窃取浏览器凭据和加密货币钱包数据,然后执行另一个恶意软件InvisibleFerret。

值得注意的是,BeaverTail恶意软件也针对macOS设备。

该组织的恶意存储库包含经过混淆的代码,这些代码会从命令和控制(C2)服务器获取其他威胁,从而增加检测难度。此外,BeaverTail的Python版本和另一个工具CivetQ可通过AnyDesk实现远程访问,并确保在Windows、macOS和Linux系统上的持久性。

更糟糕的是,Lazarus已将其数据窃取目标扩大到浏览器扩展程序、密码管理器,甚至Microsoft Sticky Notes,通过FTP和Telegram窃取被盗数据。关键入侵指标(IOC)包括恶意软件下载的C2端点和唯一文件签名。

拉撒路集团因通过网络攻击窃取数亿美元帮助朝鲜经济而闻名,该集团正在采用新策略。这一转变并不令人意外,它清楚地提醒人们,网络攻击对公司和个人都是重大威胁。

因此,企业和学校应接受网络安全培训。人们还应保持警惕,运用常识,避免诈骗和看似好得令人难以置信的优惠。

发表评论

评论已关闭。

相关文章

newsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnews